Aproape fiecare bancomat din lume ar putea fi accesat fraudulos sau jefuit, cu sau fără ajutorul unui program malware. Potrivit unei cercetări a experţilor Kaspersky Lab, acest lucru se întâmplă din cauza folosirii frecvente a unui software învechit şi nesigur, a greşelilor de configurare a reţelei şi a lipsei de măsuri de securitate pentru părţile critice ale ATM-ului, în mediul real.
Timp de mai mulţi ani, cea mai mare ameninţare pentru utilizatorii şi deţinătorii de ATM-uri erau aparatele de tip “skimmers” – dispozitive ataşate unui ATM pentru a fura datele de pe benzile magnetice ale cardurilor. Dar, pe măsură ce tehnicile malware au evoluat, bancomatele sunt expuse la pericole mai mari.
În cadrul cercetării, experţii au demonstrat că atacurile malware împotriva ATM-urilor sunt posibile din cauza mai multor probleme de securitate. În primul rând, toate bancomatele sunt computere care funcţionează cu sisteme de operare învechite, cum este Windows XP. Astfel, bancomatele sunt vulnerabile la infectarea cu malware pentru PC şi la atacuri prin intermediul exploit-urilor.
În marea majoritate a cazurilor, programele speciale care permit PC-urilor să interacţioneze cu infrastructura bancară şi cu unităţile hardware, cu procesarea numerarului şi a cardurilor, sunt bazate pe standarde XFS (eXtensions for Financial Services). Aceasta este o specificaţie destul de veche şi nesigură, creată iniţial pentru a standardiza software-ul pentru ATM-uri, pentru a funcţiona pe orice echipament, indiferent de producător. În cazul în care un program malware reuşeşte să infecteze un ATM, primeşte puteri aproape nelimitate în materie de control: poate transforma PIN pad-ul si cititorul de card în skimmer sau, pur şi simplu, poate face să fie eliberaţi toţi banii pe care îi are bancomatul în interior, la comanda unui hacker.
În numeroase cazuri observate, infractorii nu trebuie să folosească programe malware pentru a infecta un ATM sau reţeaua bancară din care face parte acesta. Acest lucru este posibil din cauza absenţei măsurilor de securitate în mediul real, care să protejeze bancomatele. Foarte frecvent, acestea sunt construite şi instalate în aşa fel încât o terţă parte să poată avea acces uşor la calculatorul din interiorul ATM-ului sau la cablul de reţea care conectează aparatul la Internet. Dacă obţin acces fizic, fie şi parţial, la ATM, infractorii ar putea să:
• Instaleze un microcomputer programat special (aşa-numita cutie neagră), în interiorul ATM-ului, care le va da atacatorilor acces de la distanţă la ATM;
• Reconecteze ATM-ul la un fals centru de procesare.
Un fals centru de procesare este un program care procesează datele de plată şi este identic cu programul folosit de bancă, în ciuda faptului că nu îi aparţine acesteia. Odată ce ATM-ul este reconectat la un centru fals, atacatorii pot da orice comandă vor ei, iar bancomatul o va efectua.
Conexiunea dintre ATM-uri şi centrul de procesare poate fi protejată în mai multe moduri. De exemplu, folosirea unui VPN, criptare SSL/TLS, un firewall sau autentificare MAC, implementarea unor protocoale xDC. Cu toate acestea, astfel de măsuri nu sunt implementate prea des. Iar atunci când sunt, se întâmplă să fie configurate greşit, lucru descoperit doar în timpul unei evaluări de securitate a ATM-ului. Prin urmare, infractorii nu trebuie să manipuleze hardware-ul, ci profită de punctele slabe din comunicarea dintre ATM şi infrastructura bancară.
Cum se poate opri jefuirea ATM-urilor
“Rezultatele cercetării noastre arată că, deşi companiile încearcă să implementeze acum caracteristici de securitate solidă pentru ATM-uri, multe bănci folosesc încă modele vechi, nesecurizate, fiind nepregătite în faţa infractorilor. Aceasta este realitatea actuală, care le cauzează băncilor şi clienţilor lor pierderi financiare uriaşe. Din punctul nostru de vedere, cauza este o prejudecată veche, şi anume că infractorii cibernetici sunt interesaţi doar de atacuri împotriva Internet banking-ului. Şi sunt, într-adevăr, interesaţi de astfel de atacuri, dar văd, din ce în ce mai mult, valoarea exploatării vulnerabilităţilor ATM-urilor, pentru că atacurile directe împotriva acestor dispozitive le scurtează semnificativ drumul până la banii reali”, spune Olga Kochetova, Security expert la departamentul Kaspersky Lab Penetration Testing.
Cum se pot proteja producătorii de ATM-uri ? În primul rând, trebuie să revizuiască standardul XFS, punând accent pe siguranţă şi să introducă autentificarea în doi paşi între dispozitive şi programele legitime. Aceste măsuri vor contribui la reducerea riscului de retrageri neautorizate de numerar folosind troieni şi de obţinerea a controlului asupra bancomatelor, de către atacatori.
În al doilea rând, este necesară implementarea unei “distribuiri autentificate” pentru a exclude posibilitatea de atacuri prin intermediul unor false centre de procesare.
În al treilea rând, este necesară implementarea criptării şi controlul integrităţii datelor transmise între unităţile hardware şi PC-urile din ATM-uri.